Access Control Lists (ACLs) sind ein wichtiges Werkzeug zur Filterung von Netzwerkverkehr und zur Durchsetzung von Sicherheitsrichtlinien. Um die Wirksamkeit und Funktionalität von ACLs zu überwachen, ist das Aktivieren von Logging von entscheidender Bedeutung. Logging ermöglicht es, Treffer von ACL-Regeln zu protokollieren, sodass Administratoren nachverfolgen können, welche Pakete gefiltert oder zugelassen werden. In diesem Artikel zeigen wir, wie Sie ACL Logging aktivieren, um Treffer sichtbar zu machen und Fehler bei der Konfiguration von ACLs zu debuggen. Diese Übung richtet sich an Einsteiger und Junior Network Engineers, die lernen möchten, wie sie ACLs überwachen und debuggen können.
1. Aktivierung des ACL-Loggings
Das Aktivieren des Loggings für ACLs ermöglicht es Ihnen, detaillierte Informationen über alle Pakete zu erhalten, die durch Ihre ACLs gefiltert werden. Dies ist besonders nützlich, um sicherzustellen, dass ACLs korrekt konfiguriert sind und um bei Fehlern schnell reagieren zu können.
1.1 Aktivierung des Loggings für eine ACL-Regel
Um Logging für eine bestimmte ACL-Regel zu aktivieren, fügen Sie den Befehl log zu der gewünschten Regel hinzu. Zum Beispiel:
Router# configure terminal
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any log
Router(config)# exit
Mit diesem Befehl wird für alle Pakete, die durch die ACL-Regel 100 passen, Logging aktiviert. Alle Treffer dieser Regel werden im System-Log protokolliert.
2. Überprüfung der Log-Nachrichten
Nachdem Logging für eine ACL-Regel aktiviert wurde, können Sie die Log-Nachrichten einsehen, um die Treffer zu überwachen und Fehler zu diagnostizieren.
2.1 Anzeigen der Log-Nachrichten
Verwenden Sie den folgenden Befehl, um die Log-Nachrichten zu überprüfen:
Router# show logging
Dieser Befehl zeigt alle System-Logs an, einschließlich der Treffer, die durch die ACL-Regeln gefiltert wurden. Die Protokolle enthalten Details wie Quell- und Ziel-IP-Adressen sowie die Art des gefilterten Verkehrs.
2.2 Anzeigen spezifischer Log-Nachrichten
Wenn Sie nur die Log-Nachrichten für eine bestimmte ACL-Regel anzeigen möchten, können Sie den folgenden Befehl verwenden:
Router# show logging | include ACL
Dieser Befehl filtert die Log-Nachrichten und zeigt nur die relevanten Treffer, die mit ACLs zusammenhängen.
3. Debugging von ACL-Problemen
Falls eine ACL nicht wie erwartet funktioniert oder der Verkehr nicht wie gewünscht gefiltert wird, können Sie das Logging nutzen, um die Ursache des Problems zu ermitteln.
3.1 Aktivierung des Debugging für ACLs
Um detailliertere Informationen über die Funktionsweise von ACLs in Echtzeit zu erhalten, können Sie das Debugging aktivieren. Verwenden Sie den folgenden Befehl:
Router# debug ip packet 100
Dieser Befehl zeigt alle Pakete an, die mit der ACL-Regel 100 übereinstimmen, sowie zusätzliche Informationen über die Verarbeitung des Verkehrs.
3.2 Deaktivierung des Debugging
Nachdem Sie das Debugging durchgeführt haben, sollten Sie es wieder deaktivieren, um eine Überlastung des Routers zu vermeiden:
Router# undebug all
Mit diesem Befehl stoppen Sie alle laufenden Debugging-Prozesse.
4. Best Practices für ACL Logging
Um ACL Logging effektiv zu nutzen und die Fehlerbehebung zu erleichtern, sollten Sie einige Best Practices beachten:
- Aktivieren Sie das Logging nur für spezifische ACL-Regeln, um die Menge an Log-Daten zu minimieren.
- Verwenden Sie die
log-Option nur für die wichtigsten Regeln, die Sie überwachen möchten. - Überprüfen Sie regelmäßig die Log-Dateien, um potenzielle Sicherheitsprobleme oder Konfigurationsfehler frühzeitig zu erkennen.
- Nutzen Sie das Debugging nur, wenn es notwendig ist, um die Netzwerkleistung nicht zu beeinträchtigen.
5. Troubleshooting von ACL Logging
Falls Sie keine Log-Nachrichten sehen oder die Ausgabe unklar ist, überprüfen Sie die folgenden Punkte:
- Stellen Sie sicher, dass das Logging korrekt für die ACL-Regeln konfiguriert wurde.
- Überprüfen Sie, ob die Log-Nachrichten auf dem richtigen Gerät angezeigt werden (z. B. Router oder Switch).
- Vergewissern Sie sich, dass der Router über ausreichend Speicherplatz für Log-Nachrichten verfügt.
- Falls keine Nachrichten angezeigt werden, könnte es daran liegen, dass keine Pakete durch die ACL-Regeln passen. Verwenden Sie das Debugging, um dies zu überprüfen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
